KR102444356B1 - Security-enhanced intranet connecting method and system - Google Patents

Security-enhanced intranet connecting method and system Download PDF

Info

Publication number
KR102444356B1
KR102444356B1 KR1020210160592A KR20210160592A KR102444356B1 KR 102444356 B1 KR102444356 B1 KR 102444356B1 KR 1020210160592 A KR1020210160592 A KR 1020210160592A KR 20210160592 A KR20210160592 A KR 20210160592A KR 102444356 B1 KR102444356 B1 KR 102444356B1
Authority
KR
South Korea
Prior art keywords
user device
vpn
security
server
client
Prior art date
Application number
KR1020210160592A
Other languages
Korean (ko)
Inventor
송창민
이지찬
Original Assignee
주식회사 제론소프트엔
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 제론소프트엔 filed Critical 주식회사 제론소프트엔
Priority to KR1020210160592A priority Critical patent/KR102444356B1/en
Application granted granted Critical
Publication of KR102444356B1 publication Critical patent/KR102444356B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Housing For Livestock And Birds (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)

Abstract

A communication method is provided. The method includes the steps of: requesting pre-authentication for a user device to a VPN (Virtual Private Network) server connected to an Intranet; forming a tunnel between the VPN server and a VPN client through a secure TCP/IP stack installed in the VPN client, when the pre-authentication is completed; and connecting a proxy server and a proxy client of a security enhancement application installed on the user device, wherein the security enhanced application is configured to communicate with the VPN server only through the secure TCP/IP stack. Therefore, when accessing an intranet using VPN, the security of the intranet can be secured.

Description

보안 강화 인트라넷 접속 방법 및 시스템 {SECURITY-ENHANCED INTRANET CONNECTING METHOD AND SYSTEM}{SECURITY-ENHANCED INTRANET CONNECTING METHOD AND SYSTEM}

본 발명은 보안 강화 인트라넷 접속 방법 및 시스템에 관한 것이다.The present invention relates to a security-enhanced intranet access method and system.

VPN을 이용하여 인트라넷에 접속하는 다양한 방식이 존재한다. VPN (Virtual Private Network) 은 공중망 (public network) 을 통해 사설망 (private network) 과 통신을 가능하게 해 준다.There are various ways to access an intranet using a VPN. A VPN (Virtual Private Network) enables communication with a private network through a public network.

기술의 발전과 사회의 필요에 의해 재택 근무가 증가함에 따라, 재택 근무 시 VPN을 이용한 인트라넷을 접속이 증가했다. 이에 따라, VPN을 이용하여 인트라넷에 접속 시 발생할 수 있는 보안 취약 문제가 부각되었다.As telecommuting increases due to the advancement of technology and the needs of society, the number of intranet connections using a VPN while working from home has increased. Accordingly, security vulnerabilities that may occur when connecting to an intranet using a VPN have been highlighted.

VPN을 이용한 인트라넷을 접속 시 발생할 수 있는 보안 취약 문제를 해결하기 위해, 운영 체제 (Operating System, OS) 상에 추가적인 보안 솔루션을 제공하는 방법이 제안된 바 있다.In order to solve a security vulnerability that may occur when accessing an intranet using a VPN, a method of providing an additional security solution on an operating system (OS) has been proposed.

운영 체제 상에 추가적인 보안 솔루션을 제공하는 종래의 방법에서는, 보안 솔루션이 타인에 의해 무력화되는 경우나 악의적인 의도를 가진 사용자가 보안 솔루션을 스스로 무력화하는 경우에, VPN이 운영체제의 네트워크 인터페이스 (network interface) 에 노출되어, 인트라넷에 대한 보안이 취약해지는 문제가 있다.In the conventional method of providing an additional security solution on the operating system, when the security solution is compromised by others or a user with malicious intent neutralizes the security solution by themselves, the VPN is a network interface (network interface) of the operating system. ), there is a problem that the security of the intranet becomes weak.

다수의 멀웨어 (malware) 가 보안 솔루션 등을 우회 또는 제거(예를 들어, 강제 종료)하는 기능을 가지고 있고, 악의적인 의도를 가진 사용자는 사용자 디바이스를 소유한 상태이므로 사용자 디바이스의 보안 기능 등을 우회 또는 제거하는 조작을 수 있기 때문에, 인트라넷에 대한 보안이 취약해질 수 있다.A lot of malware has the ability to bypass or remove security solutions (for example, force termination), and a user with malicious intent is in possession of the user device, so it bypasses the security function of the user device, etc. Or, because the operation to remove it, the security of the intranet may be weakened.

이에, 본 발명의 해결하고자 하는 과제는 운영 체제 상에 추가적인 보안 솔루션 없이도 나아가 이러한 보안 솔루션이 있지만 무력화된 경우라도, VPN을 이용하여 인트라넷에 접속하는 경우 발생할 수 있는 보안 취약 문제를 해결하는 방법 및 시스템을 제공하는 것이다.Accordingly, the problem to be solved by the present invention is a method and system for solving a security vulnerability that may occur when accessing an intranet using a VPN even when there is such a security solution without an additional security solution on the operating system, but is disabled is to provide

나아가, 본 발명의 해결하고자 하는 다른 과제는 사용자 및 사용자 디바이스 모두 신뢰하지 않고도, VPN을 이용한 인트라넷을 접속 시 인트라넷에 대한 보안을 확보할 수 있는 방법 및 시스템을 제공하는 것이다.Furthermore, another object of the present invention is to provide a method and system capable of securing security for an intranet when accessing an intranet using a VPN without trusting both the user and the user device.

본 발명의 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The problems of the present invention are not limited to the problems mentioned above, and other problems not mentioned will be clearly understood by those skilled in the art from the following description.

전술한 바와 같은 과제를 해결하기 위해, 본 발명의 일 실시예에 따른 통신 방법이 제공된다. 통신 방법은 인트라넷에 연결된 VPN (Virtual Private Network) 서버에 사용자 디바이스에 대한 사전-인증을 요청하는 단계; 사전-인증이 완료되면, VPN 클라이언트에 구현된 보안 TCP/IP 스택을 통해 VPN 서버와 VPN 클라이언트 사이에 터널을 형성하는 단계; 및 프록시 서버와 사용자 디바이스에 설치된 보안 강화 어플리케이션의 프록시 클라이언트를 연결하는 단계를 포함하고, 보안 강화 어플리케이션은 보안 TCP/IP 스택을 통해서만 VPN 서버와 통신하도록 구성된다.In order to solve the problems as described above, a communication method according to an embodiment of the present invention is provided. The communication method includes: requesting pre-authentication for a user device from a virtual private network (VPN) server connected to an intranet; when the pre-authentication is completed, forming a tunnel between the VPN server and the VPN client through a secure TCP/IP stack implemented in the VPN client; and connecting the proxy server and the proxy client of the security enhanced application installed on the user device, wherein the security enhanced application is configured to communicate with the VPN server only through the secure TCP/IP stack.

본 발명의 다른 특징에 따르면, 보안 TCP/IP 스택은 운영 체제 (Operating System, OS) 의 TCP/IP 스택과 분리되도록 구성된다.According to another feature of the present invention, the secure TCP/IP stack is configured to be separated from the TCP/IP stack of an operating system (OS).

본 발명의 또 다른 특징에 따르면, 프록시 서버는 프록시 클라이언트가 설치된 보안 강화 어플리케이션과만 연결되도록 구성된다.According to another feature of the present invention, the proxy server is configured to connect only with the security-enhanced application in which the proxy client is installed.

본 발명의 또 다른 특징에 따르면, 프록시 서버와 사용자 디바이스에 설치된 보안 강화 어플리케이션의 프록시 클라이언트를 연결하는 단계는, 프록시 서버에 프록시 클라이언트와의 연결을 요청하는 단계; 요청에 응답하여, 프록시 서버가 보안 강화 어플리케이션에 설치된 연결 매니저 (Connection Manager, CM) 에 임시 암호를 제공하는 단계; 및 임시 암호를 이용하여, 프록시 서버에 프록시 클라이언트를 연결하는 단계를 포함한다.According to another aspect of the present invention, the step of connecting the proxy server and the proxy client of the security enhanced application installed in the user device may include: requesting a connection to the proxy client from the proxy server; in response to the request, the proxy server providing a temporary password to a Connection Manager (CM) installed in the security enhancement application; and using the temporary password to connect the proxy client to the proxy server.

본 발명의 또 다른 특징에 따르면, 사전-인증은 TPM (Trusted Platform Module) 이 설치된 사용자 디바이스와 VPN 서버 사이에서 수행되는 하드웨어 기반 원격-인증 (remote-attestation) 이다.According to another feature of the present invention, the pre-authentication is a hardware-based remote-attestation performed between a user device in which a Trusted Platform Module (TPM) is installed and a VPN server.

본 발명의 또 다른 특징에 따르면, 사용자 디바이스의 인트라넷에 대한 접속 정보가 보안 강화 TCP/IP 스택을 이용하여 저장된다.According to another feature of the present invention, the connection information to the intranet of the user device is stored using a security-enhanced TCP/IP stack.

본 발명의 또 다른 특징에 따르면, 접속 정보는 사용자 디바이스의 디바이스 정보, 사용자 디바이스의 사용자 계정 정보, 보안 강화 TCP/IP 스택의 IP 정보, 사전-인증에 대한 정보, 프록시 서버와 프록시 클라이언트의 연결 정보, 및 사용자 디바이스의 인트라넷에 대한 접속 기록 정보 중 적어도 하나의 정보를 포함한다.According to another feature of the present invention, the access information includes device information of the user device, user account information of the user device, IP information of the security-enhanced TCP/IP stack, information about pre-authentication, and connection information between the proxy server and the proxy client. , and at least one information of access record information for the intranet of the user device.

본 발명의 다른 실시예에 따른 사용자 디바이스가 제공된다. 사용자 디바이스는 VPN 서버와 통신하도록 구성된 통신부, 보안 강화 어플리케이션 및 VPN 클라이언트을 저장하도록 구성된 저장부; 및 상기 통신부, 및 상기 저장부와 동작 가능하도록 연결된 제어부를 포함한다. 제어부는 통신부를 통해, VPN 서버에 사용자 디바이스에 대한 사전-인증을 요청하고, 사전-인증이 완료되면, 상기 VPN 클라이언트에 구현된 보안 TCP/IP 스택을 통해 VPN 서버와 VPN 클라이언트 사이에 터널을 형성하고, 그리고 프록시 서버와 상기 보안 강화 어플리케이션의 프록시 클라이언트를 연결하도록 구성되고, 보안 강화 어플리케이션은 보안 TCP/IP 스택을 통해서만 VPN 서버와 통신하도록 구성된다. A user device according to another embodiment of the present invention is provided. The user device includes a communication unit configured to communicate with the VPN server, a storage unit configured to store a security enhancement application and a VPN client; and a control unit operably connected to the communication unit and the storage unit. The control unit requests pre-authentication for the user device from the VPN server through the communication unit, and when the pre-authentication is completed, a tunnel is formed between the VPN server and the VPN client through the secure TCP/IP stack implemented in the VPN client. and connect the proxy server and the proxy client of the security enhanced application, wherein the security enhanced application is configured to communicate with the VPN server only through a secure TCP/IP stack.

본 발명의 다른 특징에 따르면, VPN 서버는 인트라넷에 설치된다.According to another feature of the present invention, the VPN server is installed in an intranet.

본 발명의 또 다른 특징에 따르면, 보안 TCP/IP 스택은 운영 체제의 TCP/IP 스택과 분리되도록 구성된다.According to another aspect of the present invention, the secure TCP/IP stack is configured to be separate from the TCP/IP stack of the operating system.

본 발명의 또 다른 특징에 따르면, 프록시 서버는 프록시 클라이언트가 설치된 보안 강화 어플리케이션과만 연결되도록 구성된다.According to another feature of the present invention, the proxy server is configured to connect only with the security-enhanced application in which the proxy client is installed.

본 발명의 또 다른 특징에 따르면, 프록시 서버와 보안 강화 어플리케이션의 프록시 클라이언트는, 프록시 서버가 보안 강화 어플리케이션에 설치된 연결 매니저에게 제공한 임시 비밀번호를 이용하여 연결된다.According to another feature of the present invention, the proxy server and the proxy client of the security enhanced application are connected using a temporary password provided by the proxy server to a connection manager installed in the security enhanced application.

본 발명의 또 다른 특징에 따르면, 사전-인증은 TPM이 설치된 사용자 디바이스와 VPN 서버 사이에서 수행되는 하드웨어 기반 원격-인증이고, 하드웨어 기반 원격-인증은 사용자 디바이스의 디바이스 인증 및 사용자 디바이스의 부트로더 무결성 인증을 포함한다.According to another feature of the present invention, the pre-authentication is hardware-based remote-authentication performed between the user device in which the TPM is installed and the VPN server, and the hardware-based remote-authentication is device authentication of the user device and bootloader integrity of the user device. including authentication.

본 발명의 또 다른 특징에 따르면, 사용자 디바이스의 인트라넷에 대한 접속 정보가 보안 강화 TCP/IP 스택을 이용하여 저장된다.According to another feature of the present invention, the connection information to the intranet of the user device is stored using a security-enhanced TCP/IP stack.

본 발명의 또 다른 특징에 따르면, 접속 정보는 사용자 디바이스의 디바이스 정보, 사용자 디바이스의 사용자 계정 정보, 보안 강화 TCP/IP 스택의 IP 정보, 사전-인증에 대한 정보, 및 사용자 디바이스의 인트라넷에 대한 접속 기록 정보 중 적어도 하나의 정보를 포함한다.According to another feature of the present invention, the connection information includes device information of the user device, user account information of the user device, IP information of the security-enhanced TCP/IP stack, information about pre-authentication, and a connection to the intranet of the user device. and at least one piece of record information.

기타 실시예의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.The details of other embodiments are included in the detailed description and drawings.

본 발명은 운영 체제 상에 추가적인 보안 솔루션 없이도 나아가 이러한 보안 솔루션이 있지만 무력화된 경우라도, VPN을 이용하여 인트라넷에 접속하는 경우 발생할 수 있는 보안 취약 문제를 해결하는 방법 및 시스템을 제공할 수 있다.The present invention can further provide a method and system for resolving a security vulnerability that may occur when accessing an intranet using a VPN even when such a security solution is ineffective without an additional security solution on the operating system.

나아가, 본 발명은 사용자 및 사용자 디바이스 모두 신뢰하지 않고도, VPN을 이용한 인트라넷을 접속 시 인트라넷에 대한 보안을 확보할 수 있는 방법 및 시스템을 제공할 수 있다.Furthermore, the present invention can provide a method and system for securing intranet security when accessing an intranet using a VPN without trusting both the user and the user device.

본 발명의 효과는 이상에서 예시된 내용에 의해 제한되지 않으며, 보다 다양한 효과들이 본 명세서 내에 포함되어 있다.The effect of the present invention is not limited by the contents exemplified above, and more various effects are included in the present specification.

도 1는 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 시스템의 개략도이다.
도 2은 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 시스템의 사용자 디바이스의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 방법 및 시스템을 설명하기 위한 개략도이다.
도 4는 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 방법의 순서도이다.
도 5은 본 발명의 일 실시예에 따른 프록시 서버와 프록시 클라이언트가 연결되는 방법의 순서도이다.1 is a schematic diagram of a security-enhanced intranet access system according to an embodiment of the present invention;
2 is a block diagram illustrating a configuration of a user device of a security-enhanced intranet access system according to an embodiment of the present invention.
3 is a schematic diagram illustrating a method and system for accessing a security-enhanced intranet according to an embodiment of the present invention.
4 is a flowchart of a security-enhanced intranet access method according to an embodiment of the present invention.
5 is a flowchart of a method in which a proxy server and a proxy client are connected according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Advantages and features of the present invention and methods of achieving them will become apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in various different forms, and only the embodiments allow the disclosure of the present invention to be complete, and common knowledge in the technical field to which the present invention belongs It is provided to fully inform the possessor of the scope of the invention, and the present invention is only defined by the scope of the claims.

본 명세서에서, 명시적으로 반대로 언급되지 않는 한, "A 또는 (or) B," "A 및/또는 (and/or) B 중 적어도 하나," 또는 "A 또는/및 B 중 하나 또는 그 이상" 등의 표현은 비배타적 (non-exclusive) 으로 나열된 항목들의 모든 가능한 조합을 포함하는 것을 지칭하는 것으로 이해될 수 있다. 예를 들어, “또는 B"는 (i) A, (ii) B, 및 (iii) A 및 B인 경우를 모두 포함하는 것으로 이해될 수 있고, "A 및 B 중 적어도 하나" 및 "A 또는 B 중 적어도 하나"는 (i) 적어도 하나의 A, (ii) 적어도 하나의 B, 및 (iii) 적어도 하나의 A 및 적어도 하나의 B인 경우를 모두 포함하는 것으로 이해될 수 있다.As used herein, unless expressly stated to the contrary, "A or (or) B," "At least one of A and/or (and/or) B," or "One or more of A and/or B The expression " etc. may be understood to refer to including all possible combinations of items listed as non-exclusive. For example, “or B” may be understood to include all instances of (i) A, (ii) B, and (iii) A and B, and “at least one of A and B” and “A or "at least one of B" may be understood to include all instances of (i) at least one A, (ii) at least one B, and (iii) at least one A and at least one B.

본 명세서에서, "가진다," "가질 수 있다," "포함한다," 또는 "포함할 수 있다" 등의 표현은 해당 특징의 존재를 의미할 뿐, 추가적인 특징의 존재를 배제하지 않는다.In the present specification, expressions such as “have,” “may have,” “include,” or “may include” only mean the presence of the corresponding feature, but do not exclude the presence of additional features.

본 명세서에서, 동일 참조 부호는 동일 구성 요소를 지칭한다.In this specification, like reference numerals refer to like elements.

본 명세서에서, 다양한 실시예의 특징들 각각은 부분적으로 또는 전체적으로 서로 결합 또는 조합 가능하며, 통상의 기술자가 충분히 이해할 수 있는 바와 같이 기술적으로 다양한 연동 및 구동이 가능하며, 각 실시예들이 서로에 대하여 독립적으로 실시 가능할 수도 있고 연관 관계로 함께 실시 가능할 수도 있다.In the present specification, each of the features of various embodiments can be partially or wholly combined or combined with each other, and technically various interlocking and driving are possible, as those skilled in the art can fully understand, and each embodiment is independent of each other It may be possible to implement it as a , or it may be possible to implement it together in a relational relationship.

본 명세서에서, 본 발명의 일 실시예에 따른 장치 또는 디바이스는 제한되지 않고, 범용 컴퓨터, 랩탑, 네트워크 연결형 저장소, 테블릿 디바이스, 스마트폰과 같은 모바일 디바이스 등을 포함할 수 있다. 이하, 첨부된 도면을 참조하여 본 발명의 다양한 실시예들을 상세히 설명한다.In the present specification, an apparatus or device according to an embodiment of the present invention is not limited, and may include a general-purpose computer, a laptop, a network-connected storage, a tablet device, a mobile device such as a smart phone, and the like. Hereinafter, various embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 시스템의 개략도이다.1 is a schematic diagram of a security-enhanced intranet access system according to an embodiment of the present invention;

도 1을 참조하면, 보안 강화 인트라넷 접속 시스템(1000)은 사용자 디바이스(100), VPN 서버(200), 및 인트라넷(300)을 포함한다. 사용자 디바이스(100)는 VPN 서버(200)를 통해 인트라넷(300)에 접속할 수 있다. Referring to FIG. 1 , the security-enhanced intranet access system 1000 includes a user device 100 , a VPN server 200 , and an intranet 300 . The user device 100 may access the intranet 300 through the VPN server 200 .

사용자 디바이스(100)는 제한되지 않고, 본 명세서에서 개시되는 보안 강화 인트라넷 접속 방법을 수행하기 위한 제어부를 포함하는 모든 장치이다. 예를 들어, 사용자 디바이스(100)는 범용 컴퓨터, 랩탑, 네트워크 연결형 저장소, 테블릿 디바이스, 스마트폰 등과 같은 모바일 디바이스 등을 포함할 수 있다. 사용자는 인트라넷(300) 외부에서 사용자 디바이스(100)를 이용하여 인트라넷에 접속하게 된다. 사용자 디바이스(100)는 보안 강화 어플리케이션 및 다른 일반 어플리케이션을 포함할 수 있다.The user device 100 is not limited, and is any device including a control unit for performing the security-enhanced intranet access method disclosed herein. For example, the user device 100 may include a general purpose computer, a laptop, a network-attached storage, a tablet device, a mobile device such as a smartphone, and the like. A user accesses the intranet by using the user device 100 from outside the intranet 300 . The user device 100 may include a security enhancement application and other general applications.

VPN 서버(200)는 VPN 클라이언트와 터널을 형성하도록 인트라넷에 연결된 서버이다. VPN 서버(200)는 인트라넷 서비스를 제공하는 인트라넷 서버와 물리적으로 분리된 서버일 수 있고, 인트라넷 서버와 물리적으로 분리되지 않고 인트라넷 서버 상에 설정된 서버일 수 있다. VPN 서버(200)는 PPTP, OpenVPN, SSTP, S2TP/IPsec 등의 프로토콜을 이용하여 VPN 클라이언트와 터널을 형성하고, 형성된 터널을 통해 VPN 클라이언트와 통신을 수행한다. The VPN server 200 is a server connected to the intranet to form a tunnel with the VPN client. The VPN server 200 may be a server physically separated from an intranet server providing an intranet service, or may be a server configured on the intranet server without being physically separated from the intranet server. The VPN server 200 forms a tunnel with the VPN client using protocols such as PPTP, OpenVPN, SSTP, and S2TP/IPsec, and communicates with the VPN client through the formed tunnel.

인트라넷(300)은 기업, 정부기관, 공공기관, 지방자치단체 등에서 사용되는 조직 내부에서만 접속이 가능하거나 조직 내부가 아니라면 적어도 접속이 승인된 사용자만 접속이 가능한 사설망을 의미한다. 인트라넷(300)에 대한 접속은 VPN 서버(200)를 통해서만 가능하다. 본 명세서에서, '인트라넷'이라는 용어는 물리적 구성으로 인트라넷 서비스를 제공하는 인트라넷 서버를 지칭할 수 있다.The intranet 300 refers to a private network that can be accessed only within an organization used in a company, a government agency, a public institution, a local government, or the like, or can only be accessed by a user authorized to access at least if not inside the organization. Access to the intranet 300 is possible only through the VPN server 200 . In this specification, the term 'intranet' may refer to an intranet server that provides an intranet service in a physical configuration.

사용자 디바이스(100)는, 보안 강화 어플리케이션을 통해서만, 인터넷 망을 통해 VPN 서버(200)에 연결된다. 사용자 디바이스(100)는 VPN서버(200)를 통해 인트라넷(300)에 접속한다. 인트라넷(300)에 접속된 사용자 디바이스(100)는 인트라넷(300)과 데이터를 송수신하거나 소프트웨어/하드웨어 자원을 공유할 수 있다. 사용자 디바이스(100)가 인트라넷(300)에 접속 시, 필요에 따라, 사용자 디바이스(200)의 인트라넷(300)에 대한 권한 또는 기능이 일부 제한될 수 있다.The user device 100 is connected to the VPN server 200 through the Internet network only through the security enhancement application. The user device 100 accesses the intranet 300 through the VPN server 200 . The user device 100 connected to the intranet 300 may transmit/receive data to and/or share software/hardware resources with the intranet 300 . When the user device 100 accesses the intranet 300 , if necessary, the rights or functions of the user device 200 for the intranet 300 may be partially restricted.

인터넷 망은 공중망 뿐만 아니라, 공중망과 분리된 사설망을 포함할 수 있다. 예를 들어, 인터넷 망은 인터넷 서비스 제공자가 기업전용으로 분리한 무선망을 포함한다. The Internet network may include a private network separated from the public network as well as the public network. For example, the Internet network includes a wireless network separated by an Internet service provider for use by an enterprise.

도 2는 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 시스템의 사용자 디바이스의 구성을 나타낸 블록도이다. 도 2을 참조하면, 사용자 디바이스(100)는 저장부(110), 표시부(120), 제어부(130), 통신부(140), 인증부(150)를 포함할 수 있다.2 is a block diagram illustrating a configuration of a user device of a security-enhanced intranet access system according to an embodiment of the present invention. Referring to FIG. 2 , the user device 100 may include a storage unit 110 , a display unit 120 , a control unit 130 , a communication unit 140 , and an authentication unit 150 .

저장부(110)는 운영 체제(111), 보안 강화 어플리케이션(112), 일반 어플리케이션 (113), VPN 클라이언트(미도시) 등의 데이터를 저장할 수 있다. 저장부(110)는 제한되지 않고, 플래시 메모리 타입 (flash memory type), 하드디스크 타입 (hard disk type), 멀티미디어 카드 마이크로 타입 (multimedia card micro type), 카드 타입의 메모리 (예를 들어, SD 또는 XD 메모리 등), 램 (Random Access Memory, RAM), SRAM (Static Random Access Memory), 롬 (Read-Only Memory, ROM), EEPROM (Electrically Erasable Programmable Read-Only Memory), PROM (Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.The storage unit 110 may store data such as the operating system 111 , the security enhancement application 112 , the general application 113 , and the VPN client (not shown). Storage unit 110 is not limited, flash memory type (flash memory type), hard disk type (hard disk type), multimedia card micro type (multimedia card micro type), card type memory (for example, SD or XD memory, etc.), RAM (Random Access Memory, RAM), SRAM (Static Random Access Memory), ROM (Read-Only Memory, ROM), EEPROM (Electrically Erasable Programmable Read-Only Memory), PROM (Programmable Read-Only Memory) ), a magnetic memory, a magnetic disk, and an optical disk may include at least one type of storage medium.

표시부(120)는 사용자 디바이스(100)에서 보안 강화 어플리케이션(112), 일반 어플리케이션 (113), VPN 클라이언트(미도시) 등이 실행되는 인터페이스 화면을 표시할 수 있다. 표시부(120)는 제한되지 않고, LCD, OLED, PDP 등의 디스플레이 장치를 사용할 수 있다.The display unit 120 may display an interface screen on which the security enhancement application 112 , the general application 113 , the VPN client (not shown), etc. are executed in the user device 100 . The display unit 120 is not limited, and display devices such as LCD, OLED, and PDP may be used.

제어부(130)는 저장부(110), 표시부(120), 통신부(140), 인증부(150)와 동작 가능하게 연결되고, 본 발명에 개시된 보안 강화 인트라넷 접속 방법과 관련된 동작을 수행할 수 있다. 제어부(130)는 전용 프로세서(예: 임베디드 프로세서), 메모리 장치에 저장된 하나 이상의 소프트웨어 프로그램들을 실행함으로써, 해당 동작들을 수행할 수 있는 범용 프로세서(generic-purpose processor)(예: CPU 또는 application processor) 등을 포함할 수 있다. 이하에서는 제어부(130)의 동작에 대해서 간략하게 설명한다.The control unit 130 is operably connected to the storage unit 110 , the display unit 120 , the communication unit 140 , and the authentication unit 150 , and may perform an operation related to the security-enhanced intranet access method disclosed in the present invention. . The controller 130 includes a dedicated processor (eg, an embedded processor), a generic-purpose processor (eg, a CPU or an application processor) capable of performing corresponding operations by executing one or more software programs stored in the memory device. may include Hereinafter, the operation of the control unit 130 will be briefly described.

제어부(130)는, 통신부(140)를 통해, VPN 서버(200)와 사용자 디바이스(100)에 대한 사전-인증을 요청하고 수행할 수 있다. 제어부(130)는, 사전-인증이 완료되면, VPN 클라이언트(170)에 구현된 보안 TCP/IP 스택(171)을 통해 VPN 서버(200)와 VPN 클라이언트(170) 사이에 터널을 형성할 수 있다. 제어부(130)는 VPN 클라이언트(170)에 설치된 프록시 서버(172)와 보안 강화 어플리케이션(112)의 프록시 클라이언트(112-2)를 연결할 수 있다.The control unit 130 may request and perform pre-authentication for the VPN server 200 and the user device 100 through the communication unit 140 . When the pre-authentication is completed, the control unit 130 may form a tunnel between the VPN server 200 and the VPN client 170 through the secure TCP/IP stack 171 implemented in the VPN client 170 . . The control unit 130 may connect the proxy server 172 installed in the VPN client 170 and the proxy client 112 - 2 of the security enhancement application 112 .

통신부(140)는 VPN 서버(200) 등 사용자 디바이스(100)와 물리적/논리적으로 분리된 디바이스 등과 통신하도록 구성된다. 통신부(140)는 VPN 서버(200)에 사전-인증을 요청할 수 있다. 통신부(110)는 VPN 서버(200), 인트라넷(300), 또는 VPN 서버(200), 인트라넷(300)의 자체적인 저장부 또는 외부의 저장부에 사용자 디바이스의 인트라넷에 대한 접속 정보를 전송할 수 있다. 통신부(110)는 제한되지 않고, 무선 통신부(예를 들어, 셀룰러 통신부, 근거리 무선 통신부, 또는 GNSS(global navigation satellite system) 통신부 등) 또는 유선 통신부(예를 들어, LAN(local area network) 통신부, 또는 전력선 통신부 등)를 포함하고, 그 중 해당하는 통신부를 이용하여 근거리 통신 네트워크(예를 들어, 블루투스, WiFi direct 또는 IrDA(infrared data association) 등) 또는 원거리 통신 네트워크(예를 들어, 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크(예: LAN 또는 WAN)와 같은 원거리 통신 네트워크 등)를 통해 물리적/논리적으로 분리된 디바이스와 통신할 수 있다.The communication unit 140 is configured to communicate with a device physically/logically separated from the user device 100 such as the VPN server 200 . The communication unit 140 may request pre-authentication from the VPN server 200 . The communication unit 110 may transmit access information on the intranet of the user device to the VPN server 200 , the intranet 300 , or the VPN server 200 , its own storage unit or an external storage unit of the intranet 300 . . The communication unit 110 is not limited, and a wireless communication unit (eg, a cellular communication unit, a short-range wireless communication unit, or a global navigation satellite system (GNSS) communication unit, etc.) or a wired communication unit (eg, a local area network (LAN) communication unit, or a power line communication unit, etc.), and a short-range communication network (eg, Bluetooth, WiFi direct or IrDA (infrared data association), etc.) or a telecommunication network (eg, a cellular network, It can communicate with physically and logically separated devices over the Internet, or a telecommunications network such as a computer network (eg, LAN or WAN).

통신부(140)는 운영 체제의 TCP/IP 스택 및 운영 체제의 TCP/IP 스택와 분리되도록 구성되는 보안 TCP/IP 스택을 포함한다. 사용자 디바이스(100)는, 운영 체제의 TCP/IP 스택 및 보안 TCP/IP 스택을 이용하여, 외부 디바이스와 통신할 수 있다. 사용자 디바이스(100)는, 보안 TCP/IP 스택을 통해서만 VPN 서버(200)와 통신할 수 있다.The communication unit 140 includes a TCP/IP stack of the operating system and a secure TCP/IP stack configured to be separated from the TCP/IP stack of the operating system. The user device 100 may communicate with an external device using a TCP/IP stack and a secure TCP/IP stack of an operating system. The user device 100 may communicate with the VPN server 200 only through a secure TCP/IP stack.

인증부(150)는 암호화 키를 저장할 수 있는 보안 칩이다. 인증부(150)는 사용자 디바이스(100)의 안정성을 인증하기 위해 사전-인증을 수행한다. 사전-인증은 하드웨어 기반 원격-인증 (remote-attestation) 을 포함한다. VPN 서버(100)는 사전-인증을 통해 원격으로 사용자 디바이스(200)가 멀웨어 감염 문제, 바이오스, 부트로더, 커널 등의 무결성 문제 등이 없음을 확인할 수 있다. 인증부(150)는 제한되지 않고, TPM (Trusted Platform Module) 등을 이용하여 사전-인증을 수행할 수 있다. TPM에 대해서는 후술한다.The authenticator 150 is a security chip capable of storing an encryption key. The authenticator 150 performs pre-authentication to authenticate the stability of the user device 100 . Pre-authentication includes hardware-based remote-attestation. The VPN server 100 can remotely confirm that the user device 200 does not have a malware infection problem, a BIOS, bootloader, or integrity problem such as a kernel through pre-authentication. The authenticator 150 is not limited, and may perform pre-authentication using a Trusted Platform Module (TPM) or the like. The TPM will be described later.

도 3은 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 방법 및 시스템을 설명하기 위한 개략도이다. 사용자 디바이스(100)는 TPM(160), VPN 클라이언트(170), 보안 강화 어플리케이션(1122), 다른 일반 어플리케이션(113), 운영 체제(OS)를 포함한다. VPN 클라이언트(170)는 프록시 서버(171) 및 보안 TCP/IP 스택(171)을 포함한다. 보안 강화 어플리케이션(112)은 연결 매니저 (Connection Manager, CM)(112-1) 및 프록시 클라이언트(112-2)를 포함한다. 운영 체제(111)는 TCP/IP 스택(111-1)을 포함한다. 3 is a schematic diagram illustrating a method and system for accessing a security-enhanced intranet according to an embodiment of the present invention. The user device 100 includes a TPM 160 , a VPN client 170 , a security enhancement application 1122 , other general applications 113 , and an operating system (OS). The VPN client 170 includes a proxy server 171 and a secure TCP/IP stack 171 . The security enhancement application 112 includes a connection manager (CM) 112-1 and a proxy client 112-2. The operating system 111 includes a TCP/IP stack 111-1.

TPM(160)은 사용자 디바이스(100)에 보안 기능을 제공하기 위한 모듈로, 칩 형태로 사용자 디바이스(100)에 내장된다. TPM(160)은 사용자 디바이스(100)의 제어부(130)에 의해 실행되는 보안 어플리케이션과 달리, 하드웨어의 일부로서 제어부(130)와 별개로 동작가능하기 때문에, 해킹이나 우회하여 무력화시키는 것이 어렵다.The TPM 160 is a module for providing a security function to the user device 100 and is embedded in the user device 100 in the form of a chip. Unlike the security application executed by the control unit 130 of the user device 100 , the TPM 160 is a part of hardware and can be operated separately from the control unit 130 , so it is difficult to hack or bypass the security application.

VPN 클라이언트(170)는 사용자 디바이스(100)를 VPN 서버(200)에 연결시키기 위해, 사용자 디바이스(100)에 설치된다. VPN 클라이언트(170)는 VPN 서버(200)와 사전-인증을 수행한다. VPN 클라이언트(170)는, 보안 TCP/IP 스택(171)을 이용하여, 보안 강화 어플리케이션(112)의 프록시 클라이언트(112-2)로부터 들어온 연결을 VPN 서버(200)에 연결한다.The VPN client 170 is installed in the user device 100 to connect the user device 100 to the VPN server 200 . The VPN client 170 performs pre-authentication with the VPN server 200 . The VPN client 170 connects the connection coming from the proxy client 112 - 2 of the security enhancement application 112 to the VPN server 200 using the secure TCP/IP stack 171 .

보안 TCP/IP 스택(171)은 VPN 클라이언트(170)에서 구현된 TCP/IP 스택으로, 운영 체제(111)의 TCP/IP 스택(111-1)과 분리되도록 구성된다. 이에 따라, 보안 TCP/IP 스택(172)은 운영 체제(111)의 네트워크 인터페이스에 노출되지 않는다. 운영 체제(111)의 TCP/IP 스택(111-1)이 운영 체제(111)에 의존적인 부분들에 대한 설계 및 구현이 필요한 반면, 보안 TCP/IP 스택(172)은 운영 체제(111)에 의존적인 부분들에 대한 설계 및 구현 없이 필요 없다. 또한, 보안 TCP/IP 스택(172)은, VPN 클라이언트(170)로 들어온 연결을, 보안 TCP/IP 스택(172)을 구현해 VPN 서버(200)와 연결한다. 보안 TCP/IP 스택(172)은 lwIP (lightweight IP) 등을 사용하여 구현될 수 있다.The secure TCP/IP stack 171 is a TCP/IP stack implemented in the VPN client 170 and is configured to be separated from the TCP/IP stack 111-1 of the operating system 111 . Accordingly, the secure TCP/IP stack 172 is not exposed to the network interface of the operating system 111 . While the TCP/IP stack 111-1 of the operating system 111 requires design and implementation for parts dependent on the operating system 111 , the secure TCP/IP stack 172 is dependent on the operating system 111 . There is no need without designing and implementing the dependent parts. In addition, the secure TCP/IP stack 172 implements the secure TCP/IP stack 172 and connects the incoming connection to the VPN client 170 with the VPN server 200 . The secure TCP/IP stack 172 may be implemented using lightweight IP (lwIP) or the like.

이에 반해, 운영 체제(111) 상의 TCP/IP 스택(111-1)은 운영 체제(111) 상의 다양한 어플리케이션에 네트워크 인터페이스가 노출될 뿐만, 지원하는 프로토콜이 다양하고 처리하는 패킷 형식이 다양하기 때문에, 보안상 공격 표면이 상당히 크다는 보안상 취약점을 가집니다.In contrast, the TCP/IP stack 111-1 on the operating system 111 exposes a network interface to various applications on the operating system 111 as well as supports various protocols and various packet formats to be processed. It has a security vulnerability that the attack surface for security is quite large.

프록시 서버(172)는 VPN 클라이언트(170)에 설치되고, 프록시 클라이언트(112-2)는 사용자 디바이스(100)의 보안 강화 어플리케이션(112)에 설치된다. 일반적인 프록시 클라이언트의 경우, 인트라넷 등에 있는 프록시 서버와 통신이 이루어지게 구성된다. 이에 달리, 프록시 클라이언트(112-2)는 사용자 디바이스(100)의 VPN 클라이언트(170)에 설치된 프록시 서버(172)와 통신하도록 구성됩니다. 이에 따라, 프록시 서버(172)는 프록시 클라이언트(112-2)가 설치된 보안 강화 어플리케이션(112)과만 연결되고, 다른 일반 어플리케이션과는 연결되지 않도록 구성된다. 프록시 서버(172)는 SOCKS프로토콜 (예를 들어, SOCKS4, SOCKS5 등), 또는 기타 적합한 프록시 프로토콜 등을 사용하여 구현될 수 있다.The proxy server 172 is installed in the VPN client 170 , and the proxy client 112 - 2 is installed in the security enhancement application 112 of the user device 100 . A general proxy client is configured to communicate with a proxy server located on an intranet or the like. Alternatively, the proxy client 112 - 2 is configured to communicate with the proxy server 172 installed in the VPN client 170 of the user device 100 . Accordingly, the proxy server 172 is configured to be connected only to the security enhancement application 112 in which the proxy client 112-2 is installed, and not to be connected to other general applications. Proxy server 172 may be implemented using a SOCKS protocol (eg, SOCKS4, SOCKS5, etc.), or other suitable proxy protocol, or the like.

보안 강화 어플리케이션(112)은 다른 일반 어플리케이션(112)과 달리, 연결 매니저 (Connection Manager, CM)(112-1) 및 프록시 클라이언트(112-2)를 포함하는 어플리케이션이다. The security enhancement application 112 is an application including a connection manager (CM) 112-1 and a proxy client 112-2, unlike other general applications 112 .

연결 매니저(112-1)는 프록시 서버(172)와 프록시 클라이언트(112-2)의 연결을 지원하는 통신 라이브러리이다. 연결 매니저(112-1)는 프록시 서버(172)와 프록시 클라이언트(112-2)에 모두 연결되어, 프록시 서버(172)로부터 임시 암호를 수신할 수 있고, 수신한 임시 암호를 프록시 클라이언트(112-2)에 제공한다. 이에 따라, 프록시 클라이언트(112-2)를 포함하는 보안 강화 어플리케이션(112)만이 프록시 서버(172)에 연결될 수 있다.The connection manager 112-1 is a communication library that supports the connection between the proxy server 172 and the proxy client 112-2. The connection manager 112-1 is connected to both the proxy server 172 and the proxy client 112-2 to receive a temporary password from the proxy server 172, and the received temporary password to the proxy client 112- 2) is provided. Accordingly, only the security enhancement application 112 including the proxy client 112 - 2 can be connected to the proxy server 172 .

도 4는 본 발명의 일 실시예에 따른 보안 강화 인트라넷 접속 방법의 순서도이다. 이하에서는, 도 4의 순서도는 도 3의 구성들을 참조하여 설명된다.4 is a flowchart of a security-enhanced intranet access method according to an embodiment of the present invention. Hereinafter, the flowchart of FIG. 4 is described with reference to the configurations of FIG. 3 .

도 4를 참조하면, 인트라넷(300)에 연결된 VPN 서버(200)에 사용자 디바이스에 대한 사전-인증이 요청된다(S400). 사전-인증은 하드웨어 기반의 원격-인증을 포함하고, 예를 들어, 사전-인증은 사용자 디바이스(100)에 설치된 TPM을 이용한 원격-인증일 수 있다.Referring to FIG. 4 , pre-authentication is requested for the user device from the VPN server 200 connected to the intranet 300 ( S400 ). Pre-authentication includes hardware-based remote-authentication, for example, pre-authentication may be remote-authentication using a TPM installed in user device 100 .

다양한 실시예에서, TPM을 이용하는 경우, VPN 서버(200)는 사용자 디바이스(100)의 TPM EK 인증서 (TPM EK Certificate) 를 이용하여, VPN 서버(200)에 접속할 수 있는 디바이스를 식별할 수 있다. 구체적으로, VPN 서버(200)는 TPM을 이용한 원격-인증을 위해 챌린지를 VPN 클라리언트에 전송하고, 전송된 챌린지를 TPM EK (Endorsement Key) Private Key로 디지털 서명하고, VPN 서버(200)에서 TPM EK Certificate로 해당 디지털 서명을 확인하는 방식으로 원격-인증을 수행한다.In various embodiments, when using the TPM, the VPN server 200 may use the TPM EK certificate of the user device 100 to identify a device that can access the VPN server 200 . Specifically, the VPN server 200 transmits a challenge to the VPN client for remote-authentication using the TPM, digitally signs the transmitted challenge with a TPM EK (Endorsement Key) Private Key, and the VPN server 200 uses the TPM EK Remote-authentication is performed by verifying the corresponding digital signature with a certificate.

다양한 실시예에서, TPM을 이용하는 경우, VPN 서버(200)는 TPM PCR (Platform Configuration Register) 원격 인증을 이용하여, 바이오스, 부트로더, 커널 등의 무결성을 검증할 수 있다. 구체적으로, 사용자 디바이스(100)에 설치된 (예를 들어, 사용자 디바이스(100)의 제조 과정에서 주입된) TPM은 PCR 값을 생성하여 플랫폼의 현재 상태를 저장하고 저장된 PCR 값을 AIK (Attestation Identity Key) 로 서명하여 VPN 서버(200)에 전송된다. VPN 서버(200)는 AIK로 서명된 PCR 값을 확인하여 사용자 디바이스(100)가 신뢰할 수 있는 상태임을 (무결성을) 검증하는 방식으로 원격-인증을 수행한다. 만일, VPN 서버(200)에 사용자 디바이스(100)의 TPM EK Certificate 및/또는 PCR 값이 존재하지 않는 경우라면, 현재 사용자 디바이스(100)의 TPM EK Certificate 및/또는 PCR 값을 VPN 서버(200)에 전송하여 신뢰할 수 있는 디바이스의 TPM EK Certificate 및/또는 PCR 값으로 저장한다.In various embodiments, when using the TPM, the VPN server 200 may verify the integrity of the bios, the bootloader, the kernel, etc. by using the TPM PCR (Platform Configuration Register) remote authentication. Specifically, the TPM installed in the user device 100 (eg, injected during the manufacturing process of the user device 100 ) generates a PCR value to store the current state of the platform and uses the stored PCR value as an Attestation Identity Key (AIK). ) is signed and transmitted to the VPN server 200 . The VPN server 200 performs remote-authentication in a way that verifies (integrity) that the user device 100 is in a trusted state by checking the AIK-signed PCR value. If there is no TPM EK Certificate and/or PCR value of the user device 100 in the VPN server 200, the current TPM EK Certificate and/or PCR value of the user device 100 is transferred to the VPN server 200 to the TPM EK Certificate and/or PCR value of the trusted device.

다양한 실시예에서, TPM을 이용하는 경우, VPN 서버(200)는 사용자 디바이스(200)에 사용자 계정(예를 들어, 사용자 ID/PASSWORD 등)을 이용하여, VPN 서버(200)에 접속가능한 정상적인 사용자를 인증할 수 있다. 사용자의 계정에 대한 인증이 수행되는 경우, 사용자 계정과 사용자 디바이스(200)는 바인딩되어, VPN 서버(200)는 특정 사용자 계정 및 특정 사용자 디바이스에 대해서만 사전-인증을 완료할 수 있다. 구체적으로, 특정 사용자 계정이 인증된 사용자로 판단되더라도, 사용자 디바이스가 특정 사용자 계정에 바인딩된 특정 사용자 디바이스가 아니라면, VPN 서버(200)에 대한 접속을 허용되지 않는다. In various embodiments, when using the TPM, the VPN server 200 uses a user account (eg, user ID/PASSWORD, etc.) on the user device 200 to provide a normal user who can access the VPN server 200 . can be authenticated. When authentication for the user's account is performed, the user account and the user device 200 are bound, so that the VPN server 200 can complete the pre-authentication only for the specific user account and the specific user device. Specifically, even if a specific user account is determined as an authenticated user, access to the VPN server 200 is not permitted unless the user device is a specific user device bound to a specific user account.

따라서, 사전-인증을 통해, 사용자 디바이스(100)가 신뢰할 수 있는 디바이스인지 여부, 바이오스, 부트로더, 커널 등의 무결성이 검증되어 안전한 상태인지 여부, 인증된 사용자인지 여부, 및 인증된 사용자에 바인딩된 사용자 디바이스인지 여부 중 적어도 하나가 판단되어, 인트라넷에 접속 시 보안을 일차적으로 확보할 수 있다.Therefore, through pre-authentication, whether the user device 100 is a trusted device, whether the integrity of the BIOS, bootloader, kernel, etc. is verified to be in a secure state, whether the user is an authenticated user, and binding to the authenticated user It is determined whether at least one of the user devices has been used, so that security can be primarily secured when accessing the intranet.

사전-인증이 완료되면, VPN 클라이언트(170)에 설치된 보안 TCP/IP 스택(171)을 통해 VPN 서버(200)와 VPN 클라이언트(170) 사이에 터널이 형성된다(S410). VPN 서버(200)와 VPN 클라이언트(170) 사이에 형성된 터널은 보안 TCP/IP 스택(171)을 통해 동작한다. 보안 TCP/IP 스택(171)은 운영 체제(111)의 TCP/IP 스택(111-1)과 분리되어, 운영 체제(111)의 네트워크 인터페이스에 노출되지 않는다.When the pre-authentication is completed, a tunnel is formed between the VPN server 200 and the VPN client 170 through the secure TCP/IP stack 171 installed in the VPN client 170 (S410). The tunnel formed between the VPN server 200 and the VPN client 170 operates through the secure TCP/IP stack 171 . The secure TCP/IP stack 171 is separated from the TCP/IP stack 111-1 of the operating system 111 and is not exposed to the network interface of the operating system 111 .

프록시 서버(172)와 사용자 디바이스(100)에 설치된 보안 강화 어플리케이션(112)의 프록시 클라이언트(121-2)가 연결된다(S430). 프록시 서버(172)와 사용자 디바이스(100)에 설치된 보안 강화 어플리케이션(112)의 프록시 클라이언트(121-2)가 연결되는 구체적인 과정은 도 5를 참조하여 후술한다 이에 따라, 사용자 디바이스(100)는, 운영 체제(111)의 네트워크 인터페이스에 노출되지 않으면서, 보안 강화 어플리케이션(112)을 통해서만 VPN 서버(200)와 통신하도록 구성될 수 있다. 구체적으로, 운영 체제(111) 상의 다른 일반 어플리케이션(113)은 VPN 서버(200)와 VPN 클라이언트(170) 사이에 형성된 터널에 접속하지 못하고, 프록시 클라이언트(112-2)를 포함하는 보안 강화 어플리케이션(112)만 VPN 서버(200)와 VPN 클라이언트(170) 사이에 형성된 터널에 접속할 수 있다. The proxy server 172 and the proxy client 121-2 of the security enhancement application 112 installed in the user device 100 are connected (S430). A specific process in which the proxy server 172 and the proxy client 121-2 of the security enhancement application 112 installed in the user device 100 are connected will be described later with reference to FIG. 5. Accordingly, the user device 100, It may be configured to communicate with the VPN server 200 only through the security-enhanced application 112 without being exposed to the network interface of the operating system 111 . Specifically, other general applications 113 on the operating system 111 cannot access the tunnel formed between the VPN server 200 and the VPN client 170, and the security enhancement application including the proxy client 112-2 ( Only 112 ) can access the tunnel formed between the VPN server 200 and the VPN client 170 .

이에 따라, 본 발명에서는, 운영 체제(111) 상에 설치된 보안 솔루션 없이도 나아가 이러한 보안 솔루션이 있지만 무력화된 경우라도, 다른 일반 어플리케이션 등을 통해 멀웨어에 감염되거나 운영 체제(111)의 네트워크에 기반한 해킹 공격이 이루어져 보안이 취약해지는 문제가 근본적으로 차단될 수 있다.. 또한, 본 발명에서는, 인증된 사용자가 악의적인 의도를 가지더라도, 다른 일반 어플리케이션 등을 통해 멀웨어에 감염되거나 운영 체제(111)의 네트워크에 기반한 해킹 공격이 이루어져 보안이 취약해지는 문제가 근본적으로 차단될 수 있다. 구체적으로, 다수의 멀웨어가 보안 솔루션 등을 우회 또는 제거(예를 들어, 강제 종료)하는 기능을 가지고 있기 때문에, 멀웨어에 의해 운영 체제(111) 상에 설치된 보안 솔루션이 무력화되는 경우, 어떠한 어플리케이션이든 운영 체제(111)의 네트워크 인터페이스, 즉 운영 체제(111)의 TCP/IP 스택(111-1)에 접속이 가능해진다. 또한, 인증된 사용자가 악의적인 의도를 가지고 사용자 디바이스(100)의 기능을 조작하여 보안 솔루션을 무력화시키는 경우에도, 어떠한 어플리케이션이든 운영 체제(111)의 네트워크 인터페이스, 즉 운영 체제(111)의 TCP/IP 스택(111-1)에 접속이 가능해진다. 일반적인 VPN을 이용하는 경우라면, VPN 서버와 VPN 클라이언트 사이의 터널이 운영 체제(111)의 TCP/IP 스택(171)을 통해 형성된다. 이에 따라, 운영 체제(111) 상에 보안 솔루션이 설치된 경우라도 보안 솔루션이 멀웨어 등에 의해 무력화될 수 있고 인증된 사용자라도 악의적인 의도를 가지고 보안 솔루션을 무력화할 수 있기 때문에, 근본적으로 인트라넷(300)에 대한 보안이 취약해질 수 있다는 것이다. 이와 달리, 본 발명에서는, 프록시 클라이언트(112-2)를 포함하는 보안 강화 어플리케이션(112)만, 보안 TCP/IP 스택(171)을 통해, VPN 서버(200)와 VPN 클라이언트(170) 사이에 형성된 터널에 접속할 수 있도록 구성된다. 이에 따라, 운영 체제(111) 상에 보안 솔루션이 없더라도, 보안 강화 어플리케이션(112)이 아닌 다른 일반 어플리케이션(113)의 VPN 서버(200)에 대한 접속이 원천적으로 차단된다. 또한, 인증된 사용자가 악의를 가지더라도, 보안 강화 어플리케이션(112)을 통하지 않고, 다른 방법으로 직접적으로 VPN 서버(200)에 접속할 수 없다.Accordingly, in the present invention, even if there is such a security solution without a security solution installed on the operating system 111 , it is infected with malware through other general applications or hacking attacks based on the network of the operating system 111 . In the present invention, even if the authenticated user has malicious intent, it is infected with malware through other general applications or the network of the operating system 111 is Based on the hacking attack, the problem of weakening security can be fundamentally blocked. Specifically, since a number of malware has a function of bypassing or removing (eg, forcibly shutting down) a security solution, etc., if the security solution installed on the operating system 111 is ineffective by the malware, any application Connection to the network interface of the operating system 111 , that is, the TCP/IP stack 111-1 of the operating system 111 is enabled. In addition, even when the authenticated user manipulates the function of the user device 100 with malicious intent to invalidate the security solution, any application is the network interface of the operating system 111 , that is, the TCP/ Access to the IP stack 111-1 is enabled. In the case of using a general VPN, a tunnel between the VPN server and the VPN client is formed through the TCP/IP stack 171 of the operating system 111 . Accordingly, even if the security solution is installed on the operating system 111 , the security solution can be neutralized by malware, etc., and even an authenticated user can neutralize the security solution with malicious intent. security may be compromised. In contrast, in the present invention, only the security enhancement application 112 including the proxy client 112 - 2 is formed between the VPN server 200 and the VPN client 170 through the secure TCP/IP stack 171 . It is configured to be able to access the tunnel. Accordingly, even if there is no security solution on the operating system 111 , access to the VPN server 200 of the general application 113 other than the security enhancement application 112 is fundamentally blocked. Also, even if the authenticated user has malicious intent, it is not possible to directly access the VPN server 200 in any other way other than through the security enhancement application 112 .

도 5은 본 발명의 일 실시예에 따른 프록시 서버와 프록시 클라이언트가 연결되는 방법의 순서도이다. 프록시 서버(172)와 프록시 클라이언트(112-2)는, 연결 매니저를 통해, 연결된다. 먼저, 프록시 서버(172)에 프록시 클라이언트(112-2)의 연결이 요청된다(S500). 요청에 응답하여, 프록시 서버(172)가 보안 강화 어플리케이션(112)의 연결 매니저(112-1)에게 임시 암호를 제공한다(S510). 임시 암호 (temporary password) 는 프록시 클라이언트(112-2)에 제공되고, 프록시 클라이언트(112-2)는 임시 암호를 이용하여, 프록시 서버(172)에 연결됩니다(S530). 사용자 디바이스(170)에 프록시 서버(172)를 포함하는 VPN 클라이언트(170) 및 프록시 클라이언트(112-2)를 포함하는 보안 강화 어플리케이션(112)이 설치되어, 프록시 서버(172)와 프록시 클라이언트(112-2)는 사용자 디바이스(100) 내에서, 다른 일반 어플리케이션(113)에 배타적으로 연결됩니다.5 is a flowchart of a method in which a proxy server and a proxy client are connected according to an embodiment of the present invention. The proxy server 172 and the proxy client 112 - 2 are connected through a connection manager. First, a connection of the proxy client 112 - 2 to the proxy server 172 is requested ( S500 ). In response to the request, the proxy server 172 provides a temporary password to the connection manager 112-1 of the security enhancement application 112 (S510). A temporary password is provided to the proxy client 112-2, and the proxy client 112-2 is connected to the proxy server 172 using the temporary password (S530). A VPN client 170 including a proxy server 172 and a security enhancement application 112 including a proxy client 112-2 are installed on the user device 170, the proxy server 172 and the proxy client 112 -2) is exclusively connected to other general applications 113 within the user device 100 .

다양한 실시예에서, 사용자 디바이스(100)가 인트라넷(300)에 접속 시, VPN 서버(200)와 VPN 클라이언트(170) 사이의 터널이 보안 TCP/IP 스택(171)을 통해 형성되기 때문에, 인트라넷(300)은 VPN 서버(200)의 IP가 아닌, 보안 TCP/IP 스택(171)의 IP로 사용자 디바이스(100)의 접속을 인식한다. 인트라넷(300)은 보안 TCP/IP 스택(171)의 IP를 이용하여 사용자 또는 사용자 디바이스(100)를 식별할 수 있다. 이에 따라, 사용자 디바이스(100)의 인트라넷(300)에 대한 접속 정보가 보안 강화 TCP/IP 스택(171)을 이용하여 저장되거나 관리될 수 있다. VPN 서버(200) 또는 인트라넷(300)은 접속 정보를 저장하거나 관리할 수 있다.In various embodiments, when the user device 100 connects to the intranet 300 , the intranet ( 300 ) recognizes the connection of the user device 100 as the IP of the secure TCP/IP stack 171 , rather than the IP of the VPN server 200 . The intranet 300 may identify the user or the user device 100 using the IP of the secure TCP/IP stack 171 . Accordingly, access information for the intranet 300 of the user device 100 may be stored or managed using the security-enhanced TCP/IP stack 171 . The VPN server 200 or the intranet 300 may store or manage access information.

접속 정보는 사용자 디바이스 정보, 사용자 계정 정보, 사전-인증 정보, 프록시 서버(172)와 프록시 클라이언트(112-2)의 연결 정보, 보안 강화 TCP/IP 스택(171)의 IP 정보, 및 사용자 디바이스(100)의 인트라넷(300)에 대한 접속 기록 정보 중 적어도 하나를 포함할 수 있다. 사전-인증 정보는 인증부(150)의 보안 칩의 하드웨어 정보, 사전-인증 요청 시간, 사전-인증을 요청한 사용자 디바이스(100)의 디바이스 정보, 사전-인증 실패 기록 등을 포함할 수 있다. 사전-인증 실패 기록은 실패 원인, 접속 시도 시간 및 횟수 등을 포함할 수 있다. 접속 기록 정보는 접속 중 사용자 디바이스(100)의 상태, 접속 시간, 접속 중 동작 등을 포함할 수 있다.The access information includes user device information, user account information, pre-authentication information, connection information between the proxy server 172 and the proxy client 112-2, IP information of the security-enhanced TCP/IP stack 171, and the user device ( 100) of the intranet 300 may include at least one of access record information. The pre-authentication information may include hardware information of the security chip of the authenticator 150 , a pre-authentication request time, device information of the user device 100 requesting pre-authentication, a pre-authentication failure record, and the like. The pre-authentication failure record may include the cause of the failure, the time and number of connection attempts, and the like. The access record information may include a state of the user device 100 during access, an access time, an operation during access, and the like.

VPN 서버(200) 또는 인트라넷(300)은 사용자 디바이스(100)의 식별이 가능한 개별 IP인 보안 TCP/IP 스택(171)의 IP로 사용자 디바이스(100)의 접속을 개별적으로 인식한다. 이에 따라, VPN 서버(200) 또는 인트라넷(300)은 접속 기록 정보에 기초하여, 사용자 디바이스(100)에 대한 접속을 로깅 (logging) 및/또는 제어할 수 있다. 또한, VPN 서버(200) 또는 인트라넷(300)은 접속 정보에 기초하여, 사용자의 권한, 보안 수준 등을 조정할 수 있다. 예를 들어, 사전-인증이 실패하거나 보안-강화 어플리케이션을 이용하지 않아 프록시 서버와 프록시 클라이언트의 연결이 실패한 기록이 있는 경우, 사용자 디바이스(100)와 상이한 디바이스를 이용한 추가적인 인증 절차가 추가되거나 인트라넷(300) 대한 접속 권한이 제한될 수 있다. 일반적인 VPN을 이용하는 경우라면, 다수의 사용자 디바이스의 인트라넷에 대한 접속이 동일한 VPN 서버의 IP로 인식될 수 있어, 개별적으로 사용자 디바이스(100)를 로깅 및/또는 제어할 수 없습니다. The VPN server 200 or the intranet 300 individually recognizes the connection of the user device 100 as an IP of the secure TCP/IP stack 171 , which is an individual IP capable of identifying the user device 100 . Accordingly, the VPN server 200 or the intranet 300 may log and/or control access to the user device 100 based on the access record information. In addition, the VPN server 200 or the intranet 300 may adjust the user's authority, security level, and the like, based on the access information. For example, if there is a record that the connection between the proxy server and the proxy client fails because pre-authentication fails or a security-enhanced application is not used, an additional authentication procedure using a device different from the user device 100 is added or intranet ( 300) may be restricted. In the case of using a general VPN, access to the intranet of multiple user devices may be recognized as the IP of the same VPN server, so that individual user devices 100 cannot be logged and/or controlled.

다양한 실시예에서, 사용자 계정 정보에 따라, 특정 사용자에 대해서는 인트라넷(300)에 대한 더 높은 수준의 보안이 요구되거나 더 높은 권한이 허용되도록 보안 강화 어플리케이션(112)이 커스터마이징되어 (customized) 제공될 수 있다. 예를 들어, 사용자 계정에 따라, 보안-강화 어플리케이션(112) 및/또는 VPN 클라이언트(170)의 설치가 인터넷 망을 통해서는 허용되지 않거나, 설치 시 또는 설치 후에 사용자 디바이스(100)와 상이한 디바이스를 이용한 추가적인 인증 절차가 요구될 수 있다.In various embodiments, according to user account information, the security enhancement application 112 may be customized and provided so that a higher level of security for the intranet 300 is required or higher privileges are allowed for a specific user. have. For example, depending on the user account, the installation of the security-enhanced application 112 and/or the VPN client 170 is not allowed through the Internet network, or a device different from the user device 100 at the time of installation or after installation is installed. Additional authentication procedures used may be required.

다양한 실시예에서, 사전-인증 실패 기록에 기초하여, 사용자 계정 및/또는 사용자 디바이스(200)에 대한 사용자의 권한, 보안 수준 등이 조정될 수 있고, 실패 원인을 해소를 지원하기 위한 조치를 수행할 수 있다. 예를 들어, 사전-인증 단계에서 사용자 디바이스가 신뢰할 수 없는 디바이스로 결정된 경우, 사용자에게 신뢰할 수 있는 디바이스로 접속할 것을 문자, 이메일, 사내 메신저 등 다양한 수단을 이용하여 통지할 수 있다. 예를 들어, 사전-인증 단계에서 바이오스, 부트로더, 커널 등의 무결성이 문제된 경우, 사용자에게 사용자 디바이스의 무결성이 문제되어 인증이 실패하였다는 사실 및/또는 디바이스의 바이오스, 부트로더, 커널 등을 다시 복구할 것을 문자, 이메일, 사내 메신저 등 다양한 수단을 이용하여 통지할 수 있다. 예를 들어, 보안-강화 어플리케이션(112)이 손상되어 문제된 경우, 사용자에게 보안-강화 어플리케이션(112)을 재설치할 것을 문자, 이메일, 사내 메신저 등 다양한 수단을 이용하여 통지할 수 있다. 이에 따라, 재택 근무나 외부에서 인트라넷에 접속하는 사용자가 보안에 대한 이해도가 낮은 경우에도, 신속하게 실패 원인을 인지하고 해결할 수 있어, 안정적이고 효율적으로 높은 보안 수준을 유지할 수 있다. In various embodiments, based on the pre-authentication failure record, the user's privileges, security level, etc. for the user account and/or user device 200 may be adjusted, and actions may be taken to assist in resolving the cause of the failure. can For example, when it is determined that the user device is an untrusted device in the pre-authentication step, the user may be notified of access to the trusted device using various means such as a text message, an e-mail, an in-house messenger, and the like. For example, if the integrity of the bios, bootloader, kernel, etc. is a problem in the pre-authentication stage, the fact that authentication fails because the integrity of the user device is problematic to the user and/or the bios, bootloader, kernel, etc. of the device may be notified using various means such as text messages, e-mails, internal messengers, etc. For example, if the security-enhanced application 112 is damaged and has a problem, the user may be notified to reinstall the security-enhanced application 112 using various means such as text messages, e-mails, and in-house messengers. Accordingly, even when a user who works from home or accesses an intranet from outside has a low understanding of security, the cause of failure can be quickly recognized and resolved, and a high security level can be stably and efficiently maintained.

지금까지 본 발명의 다양한 실시예에 따른 보안 강화 인트라넷 접속 방법 및 시스템 설명하였다. 본 발명에 따르면, 추가적인 보안 솔루션 없이도, VPN을 이용하여 인트라넷에 접속하는 경우 발생할 수 있는 근본적인 보안 취약 문제를 해결할 수 있다.So far, a security-enhanced intranet access method and system according to various embodiments of the present invention have been described. According to the present invention, it is possible to solve a fundamental security vulnerability that may occur when accessing an intranet using a VPN without an additional security solution.

이상 첨부된 도면을 참조하여 본 발명의 일 실시예들을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것은 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형 실시될 수 있다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Although one embodiment of the present invention has been described in more detail with reference to the accompanying drawings, the present invention is not necessarily limited to these embodiments, and various modifications may be made within the scope without departing from the technical spirit of the present invention. have. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical spirit of the present invention, but to explain, and the scope of the technical spirit of the present invention is not limited by these embodiments. Therefore, it should be understood that the embodiments described above are illustrative in all respects and not restrictive. The protection scope of the present invention should be construed by the following claims, and all technical ideas within the equivalent range should be construed as being included in the scope of the present invention.

1000: 보안 강화 인트라넷 접속 시스템
100: 사용자 디바이스
200: VPN 서버
300: 인트라넷
110: 저장부
111: 운영 체제
111-1: TCP/IP 스택
112: 보안 강화 어플리케이션
112-1: 연결 매니저
112-2: 프록시 클라이언트
113: 일반 어플리케이션
120: 표시부
130: 제어부
140: 통신부
150: 인증부
160: TPM
170: VPN 클라이언트
171: 보안 TCP/IP 스택
172: 프록시 서버1000: Security-enhanced intranet access system
100: user device
200: VPN server
300: intranet
110: storage unit
111: operating system
111-1: TCP/IP Stack
112: security-enhanced application
112-1: Connection Manager
112-2: proxy client
113: general application
120: display unit
130: control unit
140: communication department
150: authentication unit
160: TPM
170: VPN client
171: Secure TCP/IP Stack
172: proxy server

Claims (15)

인트라넷에 연결된 VPN (Virtual Private Network) 서버에 사용자 디바이스에 대한 사전-인증을 요청하는 단계;
상기 사전-인증이 완료되면, VPN 클라이언트에 구현된 보안 TCP/IP 스택을 통해 상기 VPN 서버와 상기 VPN 클라이언트 사이에 터널을 형성하는 단계; 및
상기 VPN 클라이언트에 설치된 프록시 서버와 상기 사용자 디바이스에 설치된 보안 강화 어플리케이션의 프록시 클라이언트를 연결하는 단계를 포함하고,
상기 보안 강화 어플리케이션은 상기 보안 TCP/IP 스택을 통해서만 상기 VPN 서버와 통신하도록 구성되고,
상기 보안 TCP/IP 스택은 운영 체제 (Operating System, OS) 의 TCP/IP 스택과 분리되도록 구성되고, 그리고
상기 프록시 서버는 상기 프록시 클라이언트가 설치된 상기 보안 강화 어플리케이션과만 연결되도록 구성되는, 통신 방법.requesting pre-authentication for the user device to a VPN (Virtual Private Network) server connected to the intranet;
when the pre-authentication is completed, forming a tunnel between the VPN server and the VPN client through a secure TCP/IP stack implemented in the VPN client; and
Connecting a proxy server installed in the VPN client and a proxy client of a security enhanced application installed in the user device,
the security-enhanced application is configured to communicate with the VPN server only through the secure TCP/IP stack;
The secure TCP/IP stack is configured to be separated from the TCP/IP stack of an Operating System (OS), and
The proxy server is configured to connect only with the security enhanced application installed with the proxy client. 삭제delete 삭제delete 제 1 항에 있어서,
상기 프록시 서버와 상기 사용자 디바이스에 설치된 상기 보안 강화 어플리케이션의 상기 프록시 클라이언트를 연결하는 단계는,
상기 프록시 서버에 상기 프록시 클라이언트와의 연결을 요청하는 단계;
상기 요청에 응답하여, 상기 프록시 서버가 상기 보안 강화 어플리케이션에 설치된 연결 매니저 (Connection Manager, CM) 에 임시 암호를 제공하는 단계; 및
상기 임시 암호를 이용하여, 상기 프록시 서버에 상기 프록시 클라이언트를 연결하는 단계를 포함하는, 통신 방법. The method of claim 1,
The step of connecting the proxy server and the proxy client of the security enhancement application installed in the user device comprises:
requesting the proxy server to connect with the proxy client;
providing, by the proxy server, a temporary password to a Connection Manager (CM) installed in the security enhancement application in response to the request; and
and connecting the proxy client to the proxy server by using the temporary password. 제 1 항에 있어서,
상기 사전-인증은 TPM (Trusted Platform Module) 이 설치된 상기 사용자 디바이스와 상기 VPN 서버 사이에서 수행되는 하드웨어 기반 원격-인증 (remote-attestation) 인, 통신 방법.The method of claim 1,
wherein the pre-authentication is hardware-based remote-attestation performed between the VPN server and the user device in which a Trusted Platform Module (TPM) is installed. 제 1 항에 있어서,
상기 사용자 디바이스의 상기 인트라넷에 대한 접속 정보가 상기 보안 강화 TCP/IP 스택을 이용하여 저장되는, 통신 방법.The method of claim 1,
and the connection information of the user device to the intranet is stored using the security-enhanced TCP/IP stack. 제 6 항에 있어서,
상기 접속 정보는 상기 사용자 디바이스의 디바이스 정보, 상기 사용자 디바이스의 사용자 계정 정보, 상기 보안 TCP/IP 스택의 IP 정보, 상기 사전-인증에 대한 정보, 상기 프록시 서버와 상기 프록시 클라이언트의 연결 정보, 및 상기 사용자 디바이스의 상기 인트라넷에 대한 접속 기록 정보 중 적어도 하나의 정보를 포함하는, 통신 방법.7. The method of claim 6,
The connection information includes device information of the user device, user account information of the user device, IP information of the secure TCP/IP stack, information on the pre-authentication, connection information between the proxy server and the proxy client, and the and at least one of connection record information of a user device to the intranet. 인트라넷에 접속하기 위한 사용자 디바이스로서,
VPN 서버와 통신하도록 구성된 통신부;
보안 강화 어플리케이션 및 VPN 클라이언트을 저장하도록 구성된 저장부; 및
상기 통신부 및 상기 저장부와 동작 가능하도록 연결된 제어부를 포함하고,
상기 제어부는,
상기 통신부를 통해, 상기 VPN 서버에 사용자 디바이스에 대한 사전-인증을 요청하고,
상기 사전-인증이 완료되면, 상기 VPN 클라이언트에 구현된 보안 TCP/IP 스택을 통해 상기 VPN 서버와 상기 VPN 클라이언트 사이에 터널을 형성하고, 그리고
상기 VPN 클라이언트에 설치된 프록시 서버와 상기 보안 강화 어플리케이션의 프록시 클라이언트를 연결하도록 구성되고,
상기 보안 강화 어플리케이션은 상기 보안 TCP/IP 스택을 통해서만 상기 VPN 서버와 통신하도록 구성되고,
상기 보안 TCP/IP 스택은 운영 체제의 TCP/IP 스택과 분리되도록 구성되고, 그리고
상기 프록시 서버는 상기 프록시 클라이언트가 설치된 상기 보안 강화 어플리케이션과만 연결되도록 구성되는, 사용자 디바이스.A user device for accessing an intranet, comprising:
a communication unit configured to communicate with the VPN server;
a storage unit configured to store the security enhancement application and the VPN client; and
and a control unit operably connected to the communication unit and the storage unit,
The control unit is
Through the communication unit, the VPN server requests pre-authentication for the user device,
When the pre-authentication is completed, a tunnel is formed between the VPN server and the VPN client through a secure TCP/IP stack implemented in the VPN client, and
configured to connect a proxy server installed in the VPN client and a proxy client of the security enhancement application,
the security-enhanced application is configured to communicate with the VPN server only through the secure TCP/IP stack;
the secure TCP/IP stack is configured to be separate from the TCP/IP stack of an operating system; and
and the proxy server is configured to connect only with the security enhanced application installed with the proxy client. 제 8 항에 있어서,
상기 VPN 서버는 인트라넷에 설치되는, 사용자 디바이스.9. The method of claim 8,
The VPN server is installed in the intranet, user device. 삭제delete 삭제delete 제 8 항에 있어서,
상기 프록시 서버와 상기 보안 강화 어플리케이션의 프록시 클라이언트는, 상기 프록시 서버가 상기 보안 강화 어플리케이션에 설치된 연결 매니저에게 제공한 임시 비밀번호를 이용하여 연결되는, 사용자 디바이스.9. The method of claim 8,
A user device, wherein the proxy server and the proxy client of the security enhanced application are connected using a temporary password provided by the proxy server to a connection manager installed in the security enhanced application. 제 8 항에 있어서,
상기 사전-인증은 TPM이 설치된 상기 사용자 디바이스와 상기 VPN 서버 사이에서 수행되는 하드웨어 기반 원격-인증인, 사용자 디바이스.9. The method of claim 8,
wherein the pre-authentication is hardware-based remote-authentication performed between the VPN server and the user device where a TPM is installed. 제 8 항에 있어서,
상기 사용자 디바이스의 상기 인트라넷에 대한 접속 정보가 상기 보안 TCP/IP 스택을 이용하여 저장되는, 사용자 디바이스.9. The method of claim 8,
and the user device's connection information to the intranet is stored using the secure TCP/IP stack. 제 14 항에 있어서,
상기 접속 정보는 상기 사용자 디바이스의 디바이스 정보, 상기 사용자 디바이스의 사용자 계정 정보, 상기 보안 강화 TCP/IP 스택의 IP 정보, 상기 사전-인증에 대한 정보, 상기 프록시 서버와 상기 프록시 클라이언트의 연결 정보, 및 상기 사용자 디바이스의 상기 인트라넷에 대한 접속 기록 정보 중 적어도 하나의 정보를 포함하는, 사용자 디바이스.
15. The method of claim 14,
The access information includes device information of the user device, user account information of the user device, IP information of the security enhanced TCP/IP stack, information on the pre-authentication, connection information between the proxy server and the proxy client, and and at least one of the access record information for the intranet of the user device.
KR1020210160592A 2021-11-19 2021-11-19 Security-enhanced intranet connecting method and system KR102444356B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210160592A KR102444356B1 (en) 2021-11-19 2021-11-19 Security-enhanced intranet connecting method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210160592A KR102444356B1 (en) 2021-11-19 2021-11-19 Security-enhanced intranet connecting method and system

Publications (1)

Publication Number Publication Date
KR102444356B1 true KR102444356B1 (en) 2022-09-16

Family

ID=83445327

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210160592A KR102444356B1 (en) 2021-11-19 2021-11-19 Security-enhanced intranet connecting method and system

Country Status (1)

Country Link
KR (1) KR102444356B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030075810A (en) * 2002-03-20 2003-09-26 유디에스 주식회사 Communication system and its method between Internet protocol network and Private Network
KR20130034401A (en) * 2011-09-28 2013-04-05 삼성에스디에스 주식회사 Apparatus and method for providing virtual private network service based on mutual authentication
KR20150095791A (en) * 2012-12-13 2015-08-21 퀄컴 인코포레이티드 Loading a re-directed web resource on a web browser of a client device in a communications system
KR20170056566A (en) * 2014-09-16 2017-05-23 노크 노크 랩스, 인코포레이티드 System and method for integrating an authentication service within a network architecture

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030075810A (en) * 2002-03-20 2003-09-26 유디에스 주식회사 Communication system and its method between Internet protocol network and Private Network
KR20130034401A (en) * 2011-09-28 2013-04-05 삼성에스디에스 주식회사 Apparatus and method for providing virtual private network service based on mutual authentication
KR20150095791A (en) * 2012-12-13 2015-08-21 퀄컴 인코포레이티드 Loading a re-directed web resource on a web browser of a client device in a communications system
KR20170056566A (en) * 2014-09-16 2017-05-23 노크 노크 랩스, 인코포레이티드 System and method for integrating an authentication service within a network architecture

Similar Documents

Publication Publication Date Title
US9184918B2 (en) Trusted hardware for attesting to authenticity in a cloud environment
CN102047262B (en) Authentication for distributed secure content management system
US20200004946A1 (en) Secretless and secure authentication of network resources
EP2913956B1 (en) Management control method and device for virtual machines
US20070101401A1 (en) Method and apparatus for super secure network authentication
JP6654985B2 (en) System and method for secure online authentication
JP2019526993A (en) Network function virtualization system and verification method
US20050132229A1 (en) Virtual private network based on root-trust module computing platforms
Atashzar et al. A survey on web application vulnerabilities and countermeasures
EP3674938B1 (en) Identifying computing processes on automation servers
RU2583710C2 (en) System and method for providing privacy of information used during authentication and authorisation operations using trusted device
US10305914B1 (en) Secure transfer of secrets for computing devices to access network resources
US20090217375A1 (en) Mobile Data Handling Device
KR102377248B1 (en) System for controlling network access based on controller and method of the same
CN106576050B (en) Three-tier security and computing architecture
US20230079795A1 (en) Device to device migration in a unified endpoint management system
KR102444356B1 (en) Security-enhanced intranet connecting method and system
Süß et al. Cloud security and security challenges revisited
Naidu et al. Addressing Cloud Computing Security Issues with Solutions
KR102576357B1 (en) Zero Trust Security Authentication System
US11671422B1 (en) Systems and methods for securing authentication procedures
Pandhare et al. A Secure Authentication Protocol for Enterprise Administrative Devices
Foltz et al. Secure Endpoint Device Agent Architecture.
RU2722393C2 (en) Telecommunication system for secure transmission of data in it and a device associated with said system
EP3261009B1 (en) System and method for secure online authentication

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant